در حال خواندن
در میزگرد آنلاین با حضور مدیران دولتی و خصوصی حوزه امنیت بانکی عنوان شد: سطح آسیب پذیری بانک های کشور در حوزه امنیت، بسیار بالاست
0

در میزگرد آنلاین با حضور مدیران دولتی و خصوصی حوزه امنیت بانکی عنوان شد: سطح آسیب پذیری بانک های کشور در حوزه امنیت، بسیار بالاست

نویسنده:  مرضیه کیانی1399-10-14

امروزه با وجود ۴۱۲ میلیون کارت بانکی متنوع، بیش از ۸ میلیون کارت‌خوان فروشگاهی، بیش از ۵۸ هزار دستگاه عابر بانک و کانال‌های متنوع دیگر، ارائه خدمات بانکی در بستر بانکداری الکترونیک و حدود چند ده میلیارد تراکنش در بسترهای شاپرک و شتاب در قالب عابر بانک و پایانه‌های شعب، تراکنش‌های مالی باید در محیطی امن انجام شود و از مبدا به مقصد طوری انتقال یابد که مشتری و سرویس‌دهنده، نگرانی‌های امنیتی نداشته باشند. در غیر این صورت، اگر هر جای این زنجیره شبکه بانکی، دچار رخنه و مشکل شود نه ‌تنها یک بانک و موسسه، بلکه تمام شبکه بانکی را با مشکل، روبه رو می‌کند و ضربه‌ای که به شبکه وارد می‌شود، فراگیر خواهد بود.
در این زمینه، حضور نظام بانکی پیشرفته برای ورود به بازارهای بین المللی، جزء الزامات هر کشور است که در حال حاضر با پیشرفت فناوری اطلاعات، تمامی صنایع در جهان از جمله بانکداری به سرعت به سمت این تحولات پیش رفته است. با ارتقا و توسعه تکنولوژی های نوین، به دلیل وجود ضعف های بانکداری سنتی، سیستم بانکی جزء نخستین سازمان هایی است که از دستاوردهای فناوری اطلاعات، شبکه و اینترنت استفاده کرده و بانکداری الکترونیک، جایگزین بانکداری سنتی شده است.
با این همه، از آنجا که ارتباط بین این شبکه ها بدون توجه به مسائل امنیتی طراحی شده،  لذا به رغم منافعی که پیشرفت تکنولوژی در پی داشته، بشر در معرض تهدید و سوء استفاده نیز بوده است. از این رو، موضوع امنیت به منظور جلوگیری از این خطرات، مطرح می شود که عامل موثری برای پذیرش و استفاده بیشتر افراد از خدمات بانکداری الکترونیک است. کاربردهای بانکداری الکترونیک مانند تجارت الکترونیک برای استفاده راحت تر تراکنش های بانکی، راه های مناسب تری پیشنهاد می کند. بانکداری اینترنتی در سال های اخیر، محبوبیت زیادی یافته، زیرا روش های سریع تر با هزینه کمتر و دسترس پذیری بیشتر، جهت اجرای فعالیت در وب را برای افراد فراهم آورده است.
هرچند امنیت، به طور عمومی، شامل دور نگه داشتن افراد غیرمجاز از دسترسی به اطلاعات و اجازه دادن به افراد مجاز برای دسترسی به دارایی های باارزش است اما در حال حاضر، نکته قابل توجه در نظام بانکی، در حوزه امنیت، از یک طرف، بروز و ظهور سازمان های موازی همچون، افتا، فتا، کاشف، ماهر، پدافند غیرعامل و… است که موجب شده به جای اینکه پروتکل های استاندارد امنیتی در کشور تعیین شود، هر نهاد براساس دستورالعمل سازمانی خود به جریان امنیت ورود کند و از طرف دیگر، مدیران امنیت در بانک ها نیز نسبت به اینکه به کجا باید پاسخگو باشند یا در مواقع حساس، باید با کجا به منظور مدیریت بحران هماهنگ شوند، دچار سردرگمی بیش از حد شده اند. با این همه، این مردم هستند که به دلasr pardakht 37 ل استفاده نکردن بانک ها از فناوری های جدیدِ کشف تقلب، گرفتار فیشینگ و کلاهبرداری های اینترنتی می شوند.
از این رو، در این میزگرد آنلاین از سلسله نشست های تخصصی بانکداری و اقتصاد دیجیتال با عنوان «امنیت در بانکداری نوین» که با حضور ابوالقاسم صادقی معاون امنیت سازمان فناوری اطلاعات، حامد تنها مدیرعامل شرکت بهسازان ملت و علی عباس نژاد مدیرعامل گروه شرکت های کهکشان برگزار شد، موضوعاتی همچون وظایف نظام بانکی در برابر امنیت مشتریان، بررسی نقش نهادهای حاکمیتی در افزایش ضریب امنیتی، استانداردسازی پروتکل‌های امنیتی در شبکه بانکی و مرور تجربیات بین المللی، مورد بحث و تبادل نظر قرار گرفت. ماحصل این نشست، پیش روی شماست.
حامی این میزگرد شرکت داتین
آقای دکتر تنها! در گذشته، اصلی ترین و تنها بازیگر صنعت بانکداری، خود بانک ها بودند اما امروز اتفاقات دیگری در اکوسیستم بانکی رخ داده و تعدادی پارتنر، خدمات بانکی و پرداخت ارائه می کنند. لطفا در شروع میزگرد، نقش بازیگران و اکوسیستم را در امنیت بانکداری نوین تشریح بفرمایید.
تنها: در حال حاضر، به طور کلی اکثر بازیگران اکوسیستم بانکی، حول محور مشتری شکل گرفته اند و هدف اصلی آنها، ایجاد ارزش برای مشتری است. در این فضا، گروه های مختلفی نقش دارند: بازیگران اصلی، سیستم بانکی و بانک ها، بازیگران مکمل که عملا تجربه بهتری از خدمات بانکی را برای مشتریان ایجاد می کنند، رگولاتورها و توانمندکننده ها که بر روی زیرساخت ها، سرمایه گذاری می کنند و همگی این گروه ها در این اکوسیستم، حول محور مشتری حرکت می نمایند تا خدمت و ارزش مناسبی برای مشتری ایجاد کنند. در قالب یک اکوسیستم، اگر قرار باشد امنیت برای ارائه خدمات مناسب به مشتری رعایت شود، همه بازیگران، حتی مشتری نیز باید اصولی را رعایت کند تا مشکل امنیتی حادث نشود. هر کدام از این بازیگران، باید اصول و استانداردهای امنیتی را رعایت کنند تا سطح امنیتی به حد کفایت برسد و مشتری، رضایت نسبی از سیستم داشته باشد. در این اکوسیستم، سیستم های پرداخت، شرکت های پرداخت، فین تک، بانک مرکزی و شرکت های ارائه کننده خدمات زیرساختی، دیتاسنترها و زیرساخت های ارتباطی وجود دارند که اگر اصول امنیتی در آنها رعایت نشود، به خدمت به مشتری، خدشه وارد می کند.
اگر موضوع را بازتر کنید، ممنون می شوم. ببینید هر جا صحبت از مجوز پرداخت ساز می شود، اگر بانک با پرداخت ساز قرارداد منعقد کند و به آنها مثلا در حوزه کارت به کارت، سرویس بدهد، طبق قوانین، بانک، مسوولیت را برعهده دارد نه پرداخت ساز. سوال اینجاست که پرداخت سازها، با کارت به کارت، سرویس بانکی ارائه می دهند، آیا بانک ها در قرارداد با پرداخت ساز، به این موضوع ورود می کنند که اپلیکیشن خدمات پرداخت، از امنیت کافی برخوردار است یا خیر؟ و اصلا آیا نهاد یا مرکزی وجود دارد که اینها را از نظر امنیتی بررسی و تایید کند؟ تکلیف بانک در اینجا چیست؟ آیا باید ریسک کند و آن را برعهده بگیرد؟ اصلا قبل از ارائه سرویس، امنیت، توسط بانک ها بررسی می شود؟ در حال حاضر، برخی فین تک ها می گویند بر سر موضوعات این چنینی با بانک ها، مشکل دارند.
تنها: فرمایش شما درست است. ما در اوایل مسیر حرکت به سمت بانکداری دیجیتال هستیم. بانک ها به عنوان بازیگر اصلی سیستم، غیر از اکتفا کردن به یک سری استانداردها و اینکه رویکرد خود را به سمت امنیت مبتنی بر ریسک ببرند، چاره ای ندارند. ما در بانک خودمان، این رویکرد را داریم و هر اتفاقی و خدمتی که بخواهیم با فین تک ارائه کنیم و یا از طریق زیرساختopen API ارتباط ایجاد  نماییم، از نظر ریسک، سطح امنیتی موردنظر که موردپذیرش کمیته ریسک بانک است، بررسی شده و با سرویس شخص ثالث ارتباط ایجاد می شود که قادر به ارائه خدمات بانکی به مشتریان باشد. استراتژی این است که این اتفاق، مبتنی بر استاندارد بیفتد. در دنیا، استانداردهایی در این زمینه تدوین شده که اگر ذینفعان مطابق با این استانداردها، رفتار کنند، امکان ارائه خدمات امن که مسوولیت هرکدام از پارتنرها در آن شفاف است، می تواند ایجاد شود. به مسائل امنیتی، نمی توان نگاه کمال گرایانه داشت و باید در چرخه بهبود، توسعه پیدا کند و بالغ شود. شاید فعلا در سطح مناسبی نباشیم. اکثر درون سپاری-هایی که در حوزه امنیت در سیستم بانکی اتفاق می افتد، صرفا به دلیل عدم وجود استانداردهاست که اطمینان نسبتا مطلوبی برای گرفتن خدمات امنیتی از سرویس های شخص ثالث صورت نمی گیرد. اگر استاندارد، معیار قرار گیرد، نقش ها مشخص است و استانداردهای مدونی در حوزه داخلی و فرایندها وجود دارد مثلا بانک ها از ISMS استفاده می کنند؛ شرکت هایی که خدمات نرم-افزاری ارائه می دهند، چندین بار چرخه پیامک را طی کرده اند، استانداردهای پرداخت، احراز هویت و مانند آن وجود دارد و می-توان از آنها استفاده کرد. به عنوان مثال می توان از PSP2 نام برد. اگر این استانداردها رعایت شود، می توان ارتباط سالم بین ذینفعان ایجاد کرد و هرکس در حوزه خودش، باید مسوولیت را بپذیرد اما در نبود استاندارد، وقتی رابطه ای ایجاد شود، ممکن است برخی بازیگران، سراغ ریسک نروند و برخی دیگر، بدون درنظر گرفتن خطرات موجود، ریسک زیادی انجام دهند و هم به خودشان و هم به مشتریان شان لطمه وارد کنند. فکر می کنم اتفاقاتی که در حوزه ضوابط رخ داده، دیده نشدن جنبه های مختلف این رابطه در ارتباط با خدمات بوده است. اجازه دادن به اپلکیشن یا شرکت شخص ثالث که بدون رعایت اصول، به اکانت مشتریان، دسترسی داشته باشد، تبعاتی را گریبانگیر بانک کرده است. اگر قوانین، درست نباشد، بانک ها محافظه کار می شوند و ما این مسیر را به کندی طی خواهیم کرد.
قبول دارید که در این فضا، ممکن است هر بانکی، اعمال سلیقه خودش را انجام دهد و این امر کار را برای شرکت های شخص ثالث دشوار نماید؟ به نظر می رسد باید استاندارد مشخصی وجود داشته باشد یا یک نهاد ناظر دیگر، آن بخش امنیت که نگرانی منطقی بانک است، مرتفع کند.
تنها: به نظرم این اتفاق در حال رخ دادن است اما عطش بازار، همیشه جلوتر از رگولاتورها و تدوین کننده های استاندارد است. ما هم از خودمان استانداردهای جدید خلق نمی کنیم بلکه best practiceهای دنیا و استانداردها موجود است. در بسیاری از کشورهای پیشرفته، تعامل بسیار مشخص و تقسیم مسوولیت کاملا واضح البته با ایرادهای محدود، قابل مشاهده است و المان های مختلف در این اکوسیستم در حال همکاری هستند. جریان اطلاعاتی سالم بین آنها رد و بدل می شود و از حریم خصوصی مشتریان، محافظت می کنند. هرکس در محدوده اطلاعاتی خود، مسوولانه برخورد می کند و نظارت لازم هم وجود دارد. در ایران، رگولاتورها یا قانون گذارها یا بخش هایی که باید استاندارد تدوین کنند، نسبت به نیاز، عقب تر هستند. در حوزه احراز هویت که حوزه امنیتی محسوب می شود، یک سری اقدامات، انجام می شود و بعدا ارگانی که مسوولیت حوزه رگولاتوری دارد، می گوید موضوع، موردتایید نیست یا باید تغییرات، ایجاد شود! بنابراین ما استاندارد داریم اما نسبت به نیاز بازار و بروز نیازها در بین مشتریان، مقداری با تاخیر تدوین می شود.
جناب دکتر عباس نژاد! با توجه به توضیحات آقای تنها، آیا امنیت اجزای اکوسیستم می تواند روی همدیگر تاثیرگذار باشد و این تاثیر چگونه است؟ آیا در کشور خودمان، از بهترین تجارب در این خصوص بهره  می گیریم یا خیر؟
عباس نژاد: در دو هفته گذشته در حوزه امنیت سایبر، اتفاقی در دنیا رخ داد که منحصربه فرد است و تقریبا می توان گفت پیچیده ترین حمله سایبری دنیا تا کنون بوده است. احتمالا درباره اتفاقی که برای (Solarwinds) رخ داد، شنیده اید و به تبع آن، اتفاقی که برای ۴۲۵ شرکت از ۵۰۰ شرکت بزرگ دنیا به وقوع پیوست. هدف حمله، سولار ویندز به عنوان یک تامین کننده و به عنوان یک جزء نبوده بلکه هدف، شرکت های بزرگی بودند که مورد سوءاستفاده قرار گرفتند. برخی از آنها، بخش های دولتی و بعضی دیگر، شرکت های بزرگ بودند. این حمله در لیست، ۱۸۰۰۰ قربانی داشته که در کشور ما هم بوده و فکر می کنم دکتر صادقی در مرکز ماهر، می توانند آمار بدهند. علت طرح این موضوع، تاثیر اجزای یک اکوسیستم بر همدیگر و اهمیت امنیت برای تک تک اجزای سیستم است. سولار ویندز مجموعه بسیار بزرگی است که از سال ۱۹۹۹ در حال فعالیت است. کار آن، مانیتورینگ اجزای یک دیتاسنتر و یک حوزه فناوری اطلاعات و یک شبکه است. علت انتخاب سولار ویندز این است که یک ابزار مانیتورینگ، دسترسی بسیار زیادی به تمام اجزای شبکه دارد و عملا مهم ترین قسمت های سرویس های فناوری اطلاعات و مهم-ترین قسمت هایی که دیتا در آن وجود دارد و به کاربران سرویس می دهد، همگی باید مانیتورینگ شوند تا مشخص شود همواره در حال سرویس دادن هستند. پس دسترسی سولار ویندز، دسترسی خوبی به تمام نقاط یک سیستم اطلاعاتی است. اتفاق بعدی اینکه محصولی از سولار ویندز انتخاب شده که در سازمان های مختلف نصب گردیده و یک آپدیت می گیرد مانند فرایند آپدیتی که بسیاری از نرم افزارهای ما دارند؛ تقریبا همه نرم افزارهای امروزی، فرایند به روزرسانی دارند و در این فرایند، به دیتاسنتر شرکت تولیدکننده متصل شده و آپدیت ها را از آن شرکت دریافت می کنند. در طول گرفتن این آپدیت ها، حمله کننده ای که بکتور خود را در محصول سولار ویندز گذاشته، موجب می شود آن بکتور به تمام ۱۸۰۰۰ شرکت منتقل شود و از آن به بعد، تمام نقل و انتقالات از این طریق، اتفاق می افتد؛ یعنی دسترسی کامل حمله کننده از طریق یک تامین کننده و یک جزء به کل سیستم اطلاعاتی و تمام اطلاعاتی که وجود دارد، ایجاد می شود. در فهرست حمله شونده ها، شرکت هایی مانند مایکروسافت، سیسکو، انویدیا و مجموعه های بسیار بزرگ فناوری وجود دارند که در آن شرکت های امنیتی و تجاری بزرگ هم دیده می شوند. نتیجه آنکه، این اتفاق بسیار پیچیده و بزرگ رخ داده و در آمریکا، وضعیت خاص سایبری اعلام شده و در دنیا هم تعداد شرکت های موردحمله زیاد است. بنابراین اجزای اکوسیستم بر همدیگر تاثیر می گذارند. آقای تنها درباره اجزای این اکوسیستم مانند بانک، پرداخت یار، پرداخت ساز و… توضیح دادند. بسیاری از اینها تامین کننده های متعددی هستند که در شبکه بانکی حضور دارند و یا ممکن است شرکت های باشند که اقداماتی برای بانک انجام می دهند. اگر بخواهیم شبیه سازی این اتفاق، تجارب و درس های آن را در شبکه بانکی خودمان مدنظر قرار دهیم، باید حواس مان جمع باشد که اگر هکر نخواهد مستقیما به شبکه بانکی حمله نماید، می تواند به یکی از تامین کننده ها حمله کند و از این طریق، وارد بانک شود. در بانک های ما ابزارهای متعددی مانند سوئیچ کارت و… استفاده می شود و همگی آنها به روش های مختلف اعم از دستی و اتوماتیک، به روزرسانی می شوند. ممکن است حمله کننده از طریق شبکه تامین کننده و به روزرسانی های آن، وارد شبکه بانکی شود. پیچیدگی بیشتر این است که تشخیص این نوع حمله، بسیار سخت است و با روش های معمول، امکان پذیر نیست چون تامین کننده سرویس، از نظر ما معتمد است، کد آن را پذیرفته ایم و از خدماتش استفاده می کنیم. در کشور ما نیز این اتفاقات رخ داده اما شاید به این پیچیدگی نبوده است مانند اتفاقی که در سال گذشته از طریق تامین کننده ها رخ داد و موجب ایجاد مشکل برای بانک ها شد. اگر با این روش و با این تجارب، هکرهای جدید، این اقدامات را انجام دهند، مشکلات زیادی را می توانند ایجاد کنند. نتیجه اینکه تاثیر اجزای اکوسیستم بانکی و صنعت پرداخت روی همدیگر بسیار زیاد است و خصوصا با ظهور فین تک ها و دسترسی های API، این مشکلات، بیشتر می شود و هر لحظه می تواند اتفاقات بیشتری بیفتد. مثال دیگری می زنم که البته ربطی به صنعت پرداخت ندارد اما تجارب آن قابل استفاده است. همچنان که حمله کننده، آپدیتی را در سولار ویندز قرار می دهد که ۱۸۰۰۰ مشتری آن را نصب می کند، حمله کننده های امروزی می توانند به تولیدکننده  نرم افزارهای موبایلی حمله کنند و کدی را روی نرم افزارشان بگذارند که با اولین آپدیت روی تمام گوشی های مشتری، آن کد قرار بگیرد و در نتیجه تمام مشتریانی که از آن نرم افزار روی موبایل شان استفاده می کنند، آلوده شوند. بنابراین در زنجیره تامین و وابستگی اجزای اکوسیستم، از تولیدکننده نرم افزار در شبکه بانکی تا خدمات دهنده در بانک ها، وجود دارند و امنیت همه آنها به همدیگر وابسته است. حمله کننده و نفوذگر همیشه ضعیف ترین حلقه زنجیر را برای ورود، استفاده می کند. مهم نیست ما چقدر در بانک، امنیت قوی داریم بلکه مهم این است مدیریت مخاطرات را در چرخه خدمات بانکی به گونه ای ایجاد کنیم که امنیت کافی داشته باشیم.
آقای دکتر صادقی! آقای عباس نژاد، توضیحاتی درباره سولار ویندز ارائه کردند. لطفا جنابعالی هم در این زمینه توضیحات بیشتری درباره اینکه در مرکز ماهر در کشور ما چه اتفاقی افتاد، بفرمایید. همچنین تصویر کلی از دیدگاه سازمان فناوری اطلاعات و مرکز ماهر درباره میزان امنیت در اکوسیستم بانکی ارائه نمایید.
صادقی: ابتدا اجازه بدهید درباره مقدمه میزگرد، تصحیحی داشته باشم. البته در این مقدمه، همه نهادها را نام بردند اما ما به عنوان مرکز ماهر، ابا داشتیم از اینکه ورود مستقیم در حوزه بانکی انجام دهیم، چون می دانستیم بانک ها با چه شرایطی مواجه هستند. از این رو، تمایل داشتیم مراودات مان با بانک ها را دورادور داشته باشیم یا از کانال پروتکل هایی که در حوزه بانکی تعریف شده، تعاملات را برقرار کنیم. درباره سولار ویندز که آقای عباس نژاد عنوان کردند، اشاره به جایی بود. واقعیت این است که داغ-ترین اتفاق روز سایبری دنیاست. ما دو ساعت بعد از اینکه اخبار این موضوع در منابع بین المللی مطرح شد، در داخل کشور تست و اسکن کرده و ۲۴ مورد از این سولار ویندزهایی که این مسیرپذیری را داشتند، پیدا و به مراجع آنها، اطلاع رسانی کردیم. البته این اطلاع رسانی را از طریق اپراتورها انجام می دهیم و اینکه در این ۲۴ مورد، مشتری بانکی یا عضوی از اکوسیستم بانکی و پرداخت نیز جزء آن بوده، نمی دانیم چون در اختیار اپراتورهاست و ما این اطلاعات را به اپراتورها می دهیم و اصولا تاکید این بوده که آنها باید این زنجیره را کامل کنند و به مراحل بعدی برسانند. اینکه این کار در اپراتور انجام می شود و اپراتور، وظایف خودش را اعمال می کند، تذکرات لازم به آنها داده شده اما هنوز نتوانستیم این زنجیره را کامل کنیم. در عین حال، این آسیب پذیری ها در کشور ما نیز به شکل جدی وجود دارد، اما اگر از بنده به عنوان مسوول مرکز ماهر بپرسید احساس من نسبت به آن چیست، باید عرض کنم ما برای این لطمه سایبری سنگین به کشور، نیازی نمی بینم به چنین آسیب پذیری هایی مراجعه کنیم بلکه باید نگران چیزهای ساده تری از این موارد باشیم. مثالی می زنم. ما در کشور هم نمونه هایی داریم. مثلا پورتال ها و CMSهایی که توسط شرکت های نرم افزاری، تولید و به سازمان ها داده می شود، تست و اطلاع رسانی می کنیم. یک شرکت می گوید اگر قرار باشد این آسیب پذیری ها را مرتفع کنم، مستلزم این است که نرم افزار را بازنویسی نمایم و در این صورت، سیکل پشتیبانی نسبت به مشتریان فعلی، دچار اختلال می شود. بعد می گوییم اگر نمی توانید این مشکل را حل کنید، به جای خود، حداقل کد فلان چیز که راجع به وردپرس در دنیا اعمال شده، به مشتریان اطلاع رسانی و تلاش کنید همگی آن را آپدیت کنند. این، آپدیت وردپرس است و نیاز نیست روی آن کار خاصی انجام دهید. متاسفانه تعهد به امنیت در کشور ما، به میزان آن سطحی که باید باشد، نیست. ما حدود یک ماه پیش، به صورت نامحسوس و چراغ خاموش تست روی بانک ها انجام دادیم و نتایج آن را هم محرمانه به چند بانک منعکس کردیم. حدود ۷ تا ۸ بانک را به عنوان هدف تست قرار دادیم و یک تست لود ساده گذاشتیم. حتی نمی توانم نام آن را حمله سایبری بگذارم چون از ساده ترین سناریوهای دیداس است که نسل ۱۵ سال پیش این حملات محسوب می شود و کاملا پایه بیومتریک داشت. تست را در بازه زمانی، حدود ساعت یک تا دو نیمه شب (بامداد)، در حد سه چهار دقیقه انجام دادیم و شواهد اثبات آن را هم به صورت کامل جمع کردیم؛ حتی کلیپ آن را ضبط کردیم. این موضوع به صورت محرمانه به آن بانک ها منعکس شد که اصطلاحا با یک فوت، سیستم بانکی خوابید و متوقف شد! اصلا کار پیچیده ای نیاز نداشت. تامل برانگیزتر از خود تست و نتایج آن، بازخوردهای برخی بانک ها بود. یکی معترض بود که اصلا چرا تست کردید؟ اینها چه کسانی بودند؟ آنها را به ما معرفی کنید! ببینید گاهی اوقات ایرادهایی که به رفتارهای سایر بازیگران می گیریم، وقتی زمینه آن برای خودمان مهیا می شود، ما هم همان رفتارها را بروز می دهیم! بانک دیگری معتقد بود اصلا آنچه شما نشان دادید، درست نیست؛ یعنی نامه ای که شواهد آن را به صورت کلیپ و تمام جزییات فنی در فایل های لاگ ضبط کردیم و در اختیارشان قرار داده ایم، معتقدند اصلا چنین چیزی اتفاق نیفتاده است! بانک دیگری پاسخ داده که ما اصلا آسیب پذیر نیستیم و اینها غلط است! این بازخوردها به ما نشان می دهد که ما تفکر و ذهنیت مان را باید اصلاح کنیم. مگر ما می خواستیم از کسی ایراد بگیریم؟! در حالی که ما محرمانه و بدون اینکه به نهاد دیگری، گزارش دهیم به بانک ها اطلاع دادیم تا به کمک همدیگر این مشکلات را مرتفع کنیم. هدف ما از این موضوع این بود که بانک ها را هوشیار کنیم اگر قرار باشد تهدید جدی سایبری رخ دهد، فاجعه به بار می آید. نسل این حملات، ۱۵ سال پیش است که هیچ کدام از سیستم های ما آمادگی مواجهه با آن را ندارند در حالی که برای آن راه حل وجود دارد. طبق برآورد بنده، در حال حاضر، برای این دسته از حملات، راهکار وجود دارد و پیاده سازی شده و بانک ها، می توانند آنها را تهیه و کنار سایر لایسنس ها استفاده کنند تا حملات ساده به آنها ضربه نزند. اگر از بنده به عنوان مسوول ماهر بپرسید که حس من نسبت به آسیب پذیری ها چیست، نکته اول این است که سطح آسیب پذیری در کشور ما متاسفانه بسیار بالاست و البته مختص سیستم بانکی نیست. اینکه ریشه های آن چیست، نیازمند بحث مجزاست. آنچه مهم است، مسوولیت اجتماعی ما به عنوان سرویس پروایدر است. در اینجا ممکن است به عنوان یک نظام بانکی، فین تک یا اپراتور یا سازمان دولتی باشیم که حجم بالایی از داده های مشتریان را تجمیع کرده ایم؛ هرجایی که باشیم به عنوان یک سرویس پروایدر، مستقل از اینکه سایر بازیگران این سیستم چه کار می کنند، تعهداتی داریم. رویکرد اول ما به قانون، این است که گاهی آن را حداقلی رعایت کنیم، صرفا برای اینکه قانون گذار یا ناظر قانونی را مجاب کنیم از ما ایرادی نگیرد و رویکرد دوم ما می تواند این باشد که فارغ از حداقل های قانونی، چه کاری از دست ما برمی آید و می توانیم برای مشتری انجام دهیم. در حوزه امنیت، عمدتا رویکرد اول وجود دارد. البته تشتت و بهم ریختگی نیز در حوزه قانون گذاری و نظارت یا رگولیشن وجود دارد و همین امر فضا را برای اینکه برخی نهادها . حتی اگر برای مشتری، دل مان نسوزد و فقط برای برند بانک خودمان، هم دلسوزی کنیم باید جلوی فاجعه و انتشار اخبار آن در رسانه ها گرفته شود وگرنه مدیرعامل بانک مجبور می شود در اخبار ساعت ۲۱ به مردم پاسخ دهد زیرا در غیر این صورت، رسانه ها جلوی در بانک، خواستار توضیح می شوند. واقعا این اتفاقات، کسی را نگران نمی کند؟! در حوزه سیستم بانکی به طور خاص باید عرض کنم آنچه نگران کننده است این است که گرچه سرعت رشد خدمات، مدتی است دچار کندی شده، اما آن زمان که سرعت رشد سامانه ها و خدمات بیشتر بود، تصور ما این بود که سرعت رشد سامانه ها، خیلی جلوتر از پرداختن به مسائل امنیتی است. این امر، موجب شده ساختمان های مجلل و شیک تحویل می دهیم که در برابر یک زلزله دو ریشتری، به سرعت فرومی ریزند! چطور می توانیم از بروز این اتفاقات، جلوگیری کنیم؟ در سیکل های دیگر، مگر ما اول بنا را می سازیم و بعد آن را مقاوم می کنیم؟! اصلا وقتی فونداسیون بنا، زیرساخت لازم را نداشته باشد، قابل مقاوم سازی است؟! بنابراین در طولتوسعه ساختار و پیاده سازی سرویس است که باید چارچوب های امنیتی آن را همان جا پیش بینی و اعمال کنیم. بعدا کاری نمی شود کرد! زیرا گرفتار اینرسی عملیاتی می شویم که دست ما را برای اعمال کردن چارچوب ها به شدت خواهد بست.
به گفته دوستان شنونده میزگرد، در ماجرای دیداس، اشتباه شما این بود که نامه نگاری کردید و سایرین هم ماجرا را فهمیدند در حالی که اگر دَرِ گوشی می گفتید، قبول می کردند!
صادقی: نامه را دَرِ گوشی ارسال کردیم و به کسی نگفتیم!
بالاخره سایر مدیران سازمان نیز نامه را ملاحظه کرده اند.
صادقی: تصور ما این نیست که در سیستم، مدیران ما هم غریبه هستند!
واقعیت این است که در یکی دو ماه گذشته، اتفاقی در حمله به اینترنت بانک های کشور افتاد و همین طور ادامه پیدا کرد. اولین بانکی که گرفتار این ماجرا شد، در این باره تجربیات خود را مطرح نکرد. گویا اصلا کارگروه و تشکلی در شبکه امنیت نظام بانکی وجود ندارد که هشدار بدهند و تجربیات خود را در اختیار دیگران بگذارند. این هماهنگی، بین شبکه بانکی نیز وجود ندارد. اولین واکنش این است که اخبار آن به رسانه ها درز نکند و خود بانک ها موضوع را جمع کنند در حالی که حداقل این موضوع در شبکه بانکی باید به صورت محرمانه مطرح شود و خودشان در قالب مسوولیت اجتماعی یا نظایر آن، موضوع را حل کنند. به نظر شما خود بانک ها باید ورود کنند یا مرکز ماهر یا نهادهای دیگر؟ البته شما گفتید مرکز ماهر چندان خودش را درگیر شبکه بانکی، نکرده و رویکرد دیگری دارد. با این حال، این تعدد ساختارهای موازی در حوزه امنیت، کار را برای شبکه بانکی و سایر فضاها، سخت نکرده است؟ در این شرایط باید چه اقدامی انجام شود و تکلیف چیست؟
صادقی: ببینید ما حق می دهیم که بانک، نگران برند خودش باشد. مگر می شود کسی نگران خبر منفی درباره خودش که قرار است منتشر شود، نباشد؟!
منظورم این است که اطلاعات درون خودشان اشتراک گذاری شود نه جای دیگر.
صادقی: گاهی شاید رقابت هایی بین خود بانک ها وجود داشته باشد. این موضوع، به رگولاتوری برمی گردد. رگولاتوری امنیت بسیار پیچیده است و در حوزه بانکی هم باید روی آن بیشتر بحث شود. اگر لازم هست، الان درباره رگولاتوری امنیت صحبت کنیم. این ماجرا، یک ریشه متعارف دارد. غیر از موضوع نگرانی محافظت از برند، نگرانی ها از نوع مواجهه و برخورد رگولاتورهاست. ما در کشور، برخی مواقع با رگولاتورهایی مواجه هستیم که به دنبال مقصریابی در موضوعات هستند. ای کاش بتوانیم روزی این مفهوم را جا بیندازیم که اگر در حوزه سامانه های آی تی و زیرساخت آی تی، آسیب پذیری رخ داد، آن بانک، مجرم یا مقصر نیست. اگر آسیب پذیری گفته شد اما پیگیری نشد، احتمالا بعد از مدتی، بانک به عنوان نهادی که کوتاهی کرده، شناخته می شود. نگرانی این است که در صورت انعکاس این موضوع، در جهت پروژه مقصریابی، سراغ چه کسانی خواهند آمد؟ این امر، باید تعدیل و حذف شود. افراد علاوه بر اینکه نگران برند هستند، نگران جایگاه شان هستند. بنابراین اگر موضوع، با نهادی که متولی این ماجراست، مطرح شود، کمک می کند نه اینکه متهم و محکوم کند زیرا این نهاد، یک سری منبع، پیمانکار، مشاور، زنجیره تامین فناوری و خدمات حوزه امنیت دارد که احتمالا از بانک، بسیار قوی تر است و می تواند حمایت کند. شاید ایراد از رفتار و فرهنگی است که وقتی چنین چیزی، منعکس می شود به جای حمایت، برخورد می بیند و تلاش می کند کار به برخورد نکشد. اگر طوری رگولیشن انجام می دادیم که نهادهای ناظر و رگولاتور، بیشتر حامی بودند تا قاضی، موجب می شد این مباحث راحت تر مطرح شود و معدل امنیت سایبری ارتقا پیدا کند.
احتمالا باید یک سامانه سوت زنی در شبکه بانکی در حوزه امنیت ایجاد کنیم که اطلاعات به طور ناشناس منتقل شود. به قول دوستان میزگرد، مدت هاست در آمریکا و جاهای دیگر، تجربه اشتراک گذاری آسیب-پذیری به صورت ناشناس اتفاق می افتد.
صادقی: اینها گوشه ها و اجزای این پازل است اما روح کلی آن، با این روش ها تغییر نمی کند. اگر سوت زنی هم با نیت متهم یابی اجرا کنید، نتیجه ای نخواهید گرفت.
جناب آقای تنها! همان طور که مستحضر هستید، امنیت در بانکداری نوین، صرفا در اختیار بانک نیست. لطفا درخصوص زنجیره تامین امنیت بانک ها توضیح بفرمایید.
تنها: برخی اوقات وقتی درباره حوزه امنیت صحبت می کنیم باید از تعریف استاندارد آن که سه رکن دارد، استفاده کنیم. اول در دسترس پذیر بودن خدمات و اطلاعات، دوم محرمانگی اطلاعات و سوم صحت و سقم اطلاعات. اگر یکی از این سه پایه، خدشه دار شود، مشکل ایجاد می شود. یک سری توانمندکننده در ارائه  خدمات بانکی وجود دارند که در این زمینه، می توان به زیرساخت های کشور اشاره کرد. فرض کنید حمله دیداس صورت گیرد و خدمات بانک را در سرتاسر دنیا متاثر کند. در اینجا، اگر فکر کنیم فقط آن بانک، نسبت به این حمله، تحمل پذیر باشد و چندین مگابایت یا گیگابیت در ثانیه، ترافیک را به سمت یک زیرساخت سازمانی در نظر بگیریم که کل پهنای باند دیتاسنتر آن را که خدمت ارائه می کند، در حد یک گیگ هم نیست. در این شرایط، به عنوان یک نهاد که در این زنجیره حضور دارد، چطور می تواند تحمل پذیر شود وقتی کل پهنای باند به عنوان یک زیرساخت که با یک پروایدر اینترنتی کار می کند، کاملا از این فضا، متاثر می شود. در این شرایط، وظایفی برعهده پروایدرها و زیرساخت اصلی کشور می افتد و هرکدام از بازیگران، باید یک عکس العمل مناسب نشان دهند. این اتفاق، در کشور، در حال رخ دادن است. بسیاری اوقات، مرکز ماهر یا شرکت زیرساخت کشور، زودتر از اینکه ما به عنوان بانک متوجه شویم، بسیاری از این حملات را دفع کرده و می کند. ما در اقدامات زیرینایی، در فضاهایی که ملموس است، کارهای امنیتی مناسب و فنی انجام داده ایم اما هرچقدر که بالاتر می رویم و به کسب وکار نزدیک می شویم، از بلوغ کافی برخوردار نیستیم. مثال دیگری دربارهEnd-to-end encryption در سیستم پرداخت بزنم. از افراد مطلع سوال کردیم چه اتفاقی می افتد زمانی که یک کارت بانکی که صادرکننده آن یک بانک است اما پذیرندگی پوز در اختیار بانک دیگر است؟ وقتی که قرار است در عرصه کسب وکاری تراکنش انجام شود، ناگهان، اطلاعات چندین بار encryption و Decryption می شود و با توجه به المان هایی مانند شتاب و شاپرک و با توجه به استانداردهای ۱۰ تا ۱۵ سال پیش، همگی در رمزنگاری، محرمانگی و صحت و سقم اطلاعات موثر است چون از ابتدا تا انتها به صورت کنترل شده و یکپارچه رمزنگاری در آن اتفاق نمی افتد و PSPها، ادمین و… در انباشت و رسوب اطلاعات و استفاده از آن، دخیل هستند. در زمینه زنجیره تامین امنیت، تمام این المان ها باید اصول امنیتی را رعایت کنند و باید بر کل این اکوسیستم، روح امنیتی یکپارچه، حاکم باشد. درباره رخدادها هم باید عرض کنم اینکه چه عاملی باعث می شود ما نتوانیم جایی برای انباشت تجربه های مشترک داشته باشیم و از آن استفاده کنیم، به این برمی گردد که بانک ها و سازمان ها، منفعت و گرفتار های حاصل از آن را سبک سنگین می کنند که در نهایت به ضررشان است. در فرمایشات آقای صادقی هم این موضوع، مطرح بود. در کشور ما، یک نفر از یک ناهنجاری، فیلمبرداری و اطلاع رسانی می کند. آن فیلمبردار به زندان می رود اما با ناهنجاری برخورد نمی شود! به تعبیر دیگر، قربانیان تجاوز، به دلیل قدرت و نفوذ متجاوزان جرات نمی کنند آنها را معرفی کنند. این، فرهنگ کشور ماست که قضیه دزد و دیوار و دَرِ بدون قفل و کدخدا مطرح است و همه مقصر هستند جز مجرم. یک بحث، فرهنگی است و بحث دیگر، مراقبت از برند است. موضوع دیگر، رقابت است و می خواهیم خودمان را قوی تر از آنچه هستیم، نشان دهیم. همه اینها، عملا موجب عدم شفافیت در این زمینه می شود و بنابراین بانک ها، تجارب مشترک خود را با یکدیگر در میان نمی گذارند. در زمینه زنجیره تامین این نکته مطرح است که تک تک بازیگران باید در محدوده خود از استانداردهای امنیتی استفاده کنند و البته این امر به تنهایی کافی نیست بلکه باید نگاه کلان در این اکوسیستم در تعامل با این المان ها داشته باشیم و از بالاتر به امنیت نگاه کنیم و یک سری اصول و استانداردها را رعایت نماییم.
با توجه به صحبت هایی که تا الان انجام شد، واقعا ظرفیت لازم را برای ارائه امنیت در کشور داریم؟ بالاخره اتفاقاتی که به سادگی مطرح شد، چندان خوشایند نیست. علی رغم اینکه از بانکداری دیجیتال صحبت می کنیم، در حوزه امنیت آن گونه که می بینیم اقدامات لازم صورت نمی گیرد؟
عباس نژاد: در کشور ما در سال های اخیر، اقدامات خوبی خصوصا در حوزه بانکی انجام شده و بهبود زیادی حاصل شده اما هنوز فضا برای کار، زیاد است زیرا آسیب پذیری ها هر روز وجود دارد و سوءاستفاده های زیادی انجام می شود و نفوذگران، روش های جدیدی پیدا می کنند.، بنابراین همیشه نیاز است اقدامات جدیدی انجام شود. اصولا حوزه امنیت و امنیت سایبری، از حوزه هایی در هر کشور است که آن کشور و آن صنعت خودش باید درمان مشکلاتش را انجام دهد تا اینکه امنیتِ وارداتی داشته باشد. همان طور که در حوزه امنیت فیزیکی هم معتقدیم باید توان خودمان را بیشتر کنیم و از امکانات داخلی استفاده کنیم، در امنیت سایبری هم همین موضوع، صادق است تا بتوانیم جلوی نفوذگران بین المللی را بگیریم. بنابراین پاسخ سوال شما این است که توانمندی ها وجود دارد اما باید تقویت و حمایت شود. شرکت های دانش بنیان متعددی در حوزه امنیت وجود دارند که به بانک ها و صنعت پرداخت، کمک می کنند اما یک مساله جدی در اینجا وجود دارد. در صنعت بانکی دو نگاه به حوزه امنیت می توان داشت: یکی امنیت سایبری در صنعت بانکی و دیگری بازتعریف امنیت برای صنعت بانکی. در حوزه بانکی، اگر بحث CIA، محرمانگی و دسترس پذیری را درنظر بگیریم، برای بانک، ابتدا دسترس پذیری مهم است. در دنیای رقابتی بین بانک ها، قبل از اینکه دسترس-پذیری وجود داشته باشد، سهولت استفاده کاربر نیز مطرح است. این موضوع، نکته ای است که در مقابل امنیت نیز قرار می گیرد و این روزها درباره آن زیاد صحبت می شود. اگر لازم است موضوع را بیشتر باز کنم.
بله. در همین اتفاقی که برای اینترنت  بانک ها افتاد، اینکه بانک ها، ساده ترین راه ممکن، برای حل مشکل به اینترنت بانک را درنظر گرفتند، کار را سخت کرد. به هر حال، مشتری، حسابش در بانک است و وقتی برای بانک، اتفاقی می افتد، مشتری اطلاع ندارد. همچنین مشتری برای ورود رمز، با پیامک یا کپچا (CAPTCHA) مواجه و کارش سخت می شود و تجربه مشتری، دشوار. اینکه خدمات نیز کاربرپسند باشد یا نباشد، نکته دیگری است.
عباس نژاد: نکته مهم، تعریف مجدد امنیت در سیستم بانکی است. ایجاد امنیت سایبری صرفا با دیدگاه فنی، بخشی از کار در حوزه زیرساخت، دیتاسنتر، فایروال و… است اما اگر امنیت در فرایندهای بانکی به گونه ای حرکت کند که کسب وکار دچار مشکل شود و کاربر، علاقه خود را به استفاده از سرویس از دست دهد، مشکل ایجاد شده و باید نگاه مجدد به آن داشت. بنده در جلساتی که با مدیران کسب وکار بانکی دارم، آنها معمولا از حوزه امنیت ناراضی هستند به این دلیل که جلوی فعالیت های بانک  و کسب وکارهای بانکی را می گیرد یا اینکه موجب می شود محصولات بانک، خیلی دیر به نتیجه برسد. قسمتی از این مشکل، به ما متخصصان حوزه امنیت برمی گردد که نگاه مناسبی به امنیت و کسب وکار نداشتیم. راه حل امروز در دنیا چیست؟ امنیت مبتنی بر ریسک. این، تعریف جدیدی است که در حوزه بانکی وجود دارد. ما قبلا هم در برنامه های آنلاین همین رسانه شما، «عصر پرداخت» یا دیگر رسانه ها، به این نتیجه رسیده ایم که بانک، امنیت را زیرمجموعه حوزه GRC می داند؛ امنیت به عنوان ماژول برای تامین GRC وجود دارد. در مدل های محاسبه ریسک بانکی، امنیت در حوزه ریسک عملیات است؛ یعنی اگر امنیت مان را از دست بدهیم ریسک عملیاتی مان را زیاد کرده ایم و اگر ریسک عملیاتی مان را افزایش دهیم، ریسک کلی بانک را زیاد کرده ایم. پس باید کفایت سرمایه و… را بیشتر کنیم. نگاه ما باید ریسک محور باشد و ببینیم برای چه ریسکی، چه کنترل امنیتی می-گذاریم. یکی از مسائلی که در کشور ما وجود دارد، این است که در حوزه بانکی، در برخی نقاط، بسیار به امنیت پرداخته و خیلی سختگیرانه با آن برخورد شده و در نقاط دیگر، آن قدر به آن بی توجهی شده که با ساده ترین اتفاق، شکننده است و مشکلات امنیتی ایجاد می کند. خوشبختانه طی چند هفته گذشته، بانک مرکزی، به عنوان رگولاتور از بانک ها خواسته که بانک ها باید سامانه مدیریت مخاطرات داشته باشند تا این سامانه در ابزارهای مختلف بانکی، کار پایش و کنترل را انجام دهد. بنابراین کارها باید ریسک محور اتفاق بیفتد و در این حال، شرایط، متفاوت می شود. طبیعتا تولید محصولات جدید بانکی باید در کنار کاربرپسند بودن و سهولت استفاده کاربر، امنیت را هم برای وی ایجاد کند که این امر، با تکنولوژی های جدید امکان پذیر است. در سه چهار سال پیش، کسی درباره هوش امنیتی صحبت نمی کرد اما امروز هوش امنیتی در صنعت بانکداری در دنیا کاملا تعریف شده است و باید از آن استفاده شود. اینکه ما صرفا نگاه فنی در حوزه امنیت داشته باشیم، قطعا امکان پذیر نیست و باید بتوانیم امنیت را در جهت ریسک داشته باشیم. تشخیص الگوهای رفتاری نامتعارف انواع NTTهایی که در شبکه وجود دارد، از قبیل مشتریان، دستگاه های پرداخت، دستگاه های واسط، نرم افزارهای API و حتی کارمندان و مشتریان ، الزامی است. ما باید الگوهای پرداخت و متعارف مشتریان را استخراج کنیم و سناریوهای تقلب را با استفاده از هوش امنیتی شناسایی و سناریوی سوءاستفاده را پیدا نماییم؛ این امر، قطعا امکان پذیر است. موضوع ارتباطات نامتعارف مشتریان، کاملا مطرح است و در این حوزه ها، هوش امنیتی کمک می کند که اتفاقات مناسبی در حوزه بانکی بیفتد و بدون اینکه به کاربر زحمت زیادی بدهیم، تجربه اش را خراب کنیم و به قول شما دو کپچا از او بگیریم که واقعا کار را سخت می کند، امنیت بهتری برقرار نماییم؛ آن هم کپچاهایی که توسط انسان، سخت اما به وسیله ماشین، راحت تر حل می شود. شما درنظر نگیرید که ما در یک رِنج سنی خاص قرار داریم یا مثلا در حوزه آی-تی فعالیت می کنیم بلکه باید توجه کنیم کاربر ۷۰ ساله ای که با عینک هم به سختی کپچا را می بیند، بعد از چند بار نتواند آن را حل کند، بنابراین این فرد، از خیر استفاده از اینترنت بانک می گذرد! بنابراین راه حل، این کارها نیست و راهکارهای بهتری برای حل مشکلات وجود دارد. در نتیجه استفاده از کنترل امنیت مبتنی بر ریسک، یکی از راه حل هایی است که باید به آن توجه شود.
آقای دکتر! اگر راه حل هایی غیر از کپچا در ذهن تان مدنظر دارید، بفرمایید.
عباس نژاد: شاید در این فرصت کوتاه نتوان چندان درباره آن صحبت کرد. درباره کپچا چون شما مثال زدید، بنده عرض کردم. من درباره هوش امنیتی صحبت کردم. در این زمینه، بسیاری از اتفاقاتی که ممکن است در شبکه امنیتی رخ دهد، می تواند قبل از اینکه اتفاق بیفتد، ما آن را تشخیص دهیم. بنابراین راه حل وجود دارد. در حوزه قمار، شرط بندی و تشخیص آن در طول سال ها، راه حل وجود داشته اما امروز به این نتیجه رسیدند که اعلام کنند این تعداد افراد، قمار می کردند یا این تعداد درگاه پرداخت وجود داشته که در آن از قمار استفاده می شده است. همه این راه حل ها، وجود دارد و تکنولوژی و متخصص هم به اندازه کافی داریم اما باید عزم لازم هم وجود داشته باشد.
جناب صادقی! در اظهارات قبلی تان به نقش رگولاتور اشاره کردید. یکی از ارکان زنجیره تامین امنیت در حوزه بانکی، رگولاتور است. لطفا درباره امنیت در سیستم بانکی و اینکه رگولاتور امنیت در اکوسیستم بانکی کیست، توضیح دهید.
صادقی: قبل از ورود به بحث رگولاتور، اجازه بدهید دو پرانتز مختصر باز کنم. درباره حملات دیداس، موضوع را تکمیل کنم. نسل های جدیدتر حملات دیداس، مبتنی بر پهنای باند نیست کمااینکه اگر قرار بود به پر کردن پهنای باند اتکا داشته باشد، برخی چالش ها را که هم اکنون در اپراتورها و زیرساخت کشور با آن مواجه هستیم، خیلی راحت تر می توانستیم حل کنیم اما تکنولوژی این حملات به گونه ای است که به جای پهنای باند دیوایس های کُر و لبه را از کار می اندازند و طوری اشباع می کنند که کار نکند و کل شبکه از کار افتاده به نظر بیاید. با شرایط امروز یک هکر حرفه ای دیوایس می تواند با یک لینک هیگابیت یک اپراتور که مثلا ۱۰۰k ترافیک توزیع می کند، به راحتی آن را دچار چالش سنگین  کند. اینها اتفاقات جدید است و پهنای باند چیزی نیست که در اختیار صاحب پلتفرم باشد اما بسیاری چیزهای دیگر وجود دارد که اساسا صاحبان پلتفرم ها راجع به آن فکر کنند و چندان به اپراتور برنمی گردد. نکته دیگر اینکه چالش هایی که نظام بانکی امروزه با آن مواجه و اخیرا بحث آن در سطح عمومی داغ تر شده، صرفا چالش های امنیتی به معنای هک نیست. الان چالش اصلی ما، جرایم است و در حوزه جرم، چالش های دیگری نیز داریم. اینکه مصداق جرم چیست؟ کجا جرم محسوب می شود؟ کجا تخلف است؟ اینکه جرم را چگونه باید تشخیص دهیم؟ فیشینگ به چه چیزی می گویند؟ و آیا جایی صراحتا عنوان شده که جرم است یا خیر؟ چون حکم این موارد، باید با استناد به یک سری قوانین در دادسرا صادر شود. در این زمینه، خلاءهایی وجود دارد که باید روی آن کار کنیم. مباحثی مانند سایت شرط بندی و… در همین مقوله قرار می گیرند. در حال حاضر، مواردی داریم که فرد از برخی مراجع تایید گرفته، سرویسی که ارائه می شود، قمار نیست. حالا اینکه بوده یا نبوده، بنده صاحبنظر نیستم. فارغ از اینکه قرار شد آن را قانون مندانه تعریف کنیم، اینکه آنچه در لایه قانونی، دقیق مشخص است، چگونه در لایه فنی آن را مشخص نماییم و شواهد آن را جمع آوری کنیم، چالش دیگری است. نام آن را می توان ایمنی مشتری گذاشت. ما باید ایمنی مشتریان را در حوزه پرداخت تامین کنیم. حالا این موضوعات در کنار چالش های امنیت، باید با هم دیده و حل شوند. گاهی اوقات دامین مساله را اشتباه می گیریم و می خواهیم ایمنی مشتری را تامین کنیم، اما چون در لایه ایمنی و موضوعات مربوط به امنیت پرداخت، امنیت تراکنش ها و کنترل روی آنها، یک سری کنترل ها را نمی خواهیم یا نمی توانیم اعمال کنیم، به لایه امنیت می رویم، در صورتی که دامین مساله جای دیگری است و باید به شکل دیگری حل شود. حالا به بحث رگولاتوری بپردازیم. رگولاتوری امنیت را به دو سطح می توان تفکیک کرد: رگولاتوری امنیت در سطح ملی و رگولاتوری امنیت در نظام بانکی. در سطح ملی این رگولیشن انجام و سه نهاد مشخص شده که مسوولان مربوطه در جریان مصوبات شورای عالی فضای مجازی هستند. بر اساس آن مصوبات، مسوولیت حوزه امنیت در کل نظام بانکی و پرداخت، برعهده مرکز افتای ریاست جمهوری است. این مسوولیت به این معناست که چارچوب ها توسط آن نهاد مسوولی که در قانون، مشخص شده، تدوین و ابلاغ می شود و بانک ها ملزم به اجرا هستند. این کار یک سال و اندی است که تحت عنوان نظام امن سازی توسط مرکز افتا انجام شده و در اختیار زیرساخت بانکی هم قرار گرفته است. بعضا طی ارتباطاتی که با بانک ها داشتم، از آن مطلع بودند. اینکه بنده یا دیگران، انتقادی به برخی بندهای آن داشته باشیم، نافی این نیست که هیمنه قانونی ماجرا زیر سوال برود ضمن اینکه نقدهای وارده می تواند مورد بحث قرار گیرد و تصحیح شود. بنابراین این رگولیشن در سطح ملی به این شکل، انجام شده و اگر دوستان در اجرا، نکاتی دارند، جای طرح این موضوع، به عنوان عالی ترین نهاد در کشور، مرکز ملی فضای مجازی است و می توانند در آنجا، نکات، درخواست ها و حتی دردودل های خود را مطرح کنند و قطعا برای این موارد، چاره-اندیشی می شود. بنده مسائل مختلفی را سراغ دارم که وقتی برخی ملاحظات در اجرا مطرح می شود، در این زمینه چارچوب هایی مدنظر قرار می گیرد که این امر، موجب تصحیح یا ارتقای یک سری فرایندها می شود. به هرحال رگولیشن سطح ملی انجام شده اما اینکه تا چه حد، اجرای آن مطلوب است، آیا نظارت ها به درستی انجام می شود یا خیر و حسن راهبری آن، چگونه است، بحث دیگری است. رگولیشن داخل نظام بانکی، یک سری چالش  دارد. اول اینکه خود نظام بانکی، برای خودش رگولیشنی که تعریف کرده، از طریق بانک مرکزی است. بنابراین بدیهی ترین نتیجه این ماجرا این است که رگولیشن حوزه های آی تی و امنیت نیز از طریق همان رگولاتور باید فعالیت کنند. این موضوع، اخیرا تحرکات خوبی داشته و قابل تقویت است. به اعتقاد بنده، شرکت کاشف، کاملا هویت و استعداد این موضوع را دارد که نقش آن، به عنوان رگولاتور امنیت در حوزه بانکی تقویت شود. حالا اینکه این رگولیشن را چگونه می تواند انجام دهد، مسائل و جزییات اجرایی است که قابل بحث است. بر اساس تجربیات ملی باید به دوستان بانکی عرض کنم در رگولیشن به دنبال بگیر و ببند نباشند بلکه به دنبال کمک و حمایت برای رفع مشکل باشند. اگر به دنبال مقصریابی و متهم یابی برویم، دچار چالش می شویم. اگر بر رویکرد عامیانه تاکید کنیم و اشکال را فقط اشکال ببینیم و برای حل آن، تلاش نماییم، حتما احساس حمایت ایجاد خواهد شد و اقبال بهتری نسبت به رگولیشن صورت خواهد گرفت. نکته دوم اینکه رگولیشن نظام بانکی نمی تواند در یک اکوسیستم کلان مستقل از رگولیشن ملی تعریف شود. بنابراین هماهنگ سازی این دو نظام با یکدیگر مهم است؛ یعنی اگر در نظام بانکی، تصمیم و اراده ای وجود دارد که خودش بخواهد رگولیشن مستقل، تعریف و حاکم کند – که این اتفاق، ضروری است – باید این دو نظام با یکدیگر هماهنگ باشند. راهکار این است که رگولاتور متمرکز حوزه امنیت در نظام بانکی تعریف شود و تمام تعاملات را از کانال رگولاتور سطح ملی نظام بانکی که مرکز افتای ریاست جمهوری است، برقرار کنند تا یک استاندارد و پنجره واحد در موضوعات حاکم شود و بانک ها هم از چالش مواجهه با چند نهاد موازی – که بسیار اذیت کننده است و کمکی هم به ارتقای امنیت نظام بانکی نمی کند – خلاص شوند. بنابراین یا نباید رگولیشن نظام بانکی وجود داشته باشد و کاملا به رگولیشن سطح ملی تمکین کند و اگر ایرادی می بینند، به نهادهای مسوول منعکس و حل کنند و یا اینکه به هر دو طرف ماجرا، یعنی هم کسانی که رگولیشن ملی را انجام می دهند و هم کسانی که در حوزه بانکی، رگولیشن متمرکز را در بانک مرکزی دنبال می کنند، پیشنهاد می کنم دنبال این فضا نروند، چون فضای موفقی نخواهد بود. به نظرم رگولیشن متمرکز بانک مرکزی در حوزه امنیت باید شکل بگیرد و تابعی از رگولیشنی شود که در حوزه امنیت سایبری در کشور تعریف شده و مستقر است. اما درباره اینکه این امر، چگونه می تواند به سمت اجرای موفق پیش رود، همان نکته ای است که شما مطرح کردید؛ یعنی بانک ها با همدیگر، کارگروه مشترک تعریف کنند. البته بانک ها، با همدیگر رقیب هستند و شاید نتوانند به این صورت تبادل نظر انجام دهند اما می توان آیزک (مرکز به اشتراک گذاری تجارب و شواهد فنی رخدادهای سایبری) بانکی ایجاد کنیم بدون اینکه حریم شخصی صاحب سرویس در آن نقض شود. بنابراین اگر اتفاقی در یک بانک خاص رخ داد، چنانچه آن شواهد در مرکز آیزک جمع آوری شود، محرمانگی نسبت به آن بانک لحاظ می شود اما جزییات فنی در اختیار همه قرار می گیرد و همه از آن سرویس، برخوردار می شوند. بنابراین کل نظام بانکی از وقوع رخداد، ریشه آن و شواهد فنی اش مطلع می شود و به سرعت می تواند آن را مرتفع کند. ایجاد مراکز آیزک در دنیا، تجربه موفقی بوده است. شرکت کاشف می تواند تبدیل به آیزک بانکی شود؛ یعنی اگر در یک بانک اتفاقی بیفتد، در حداقل زمان، با حداکثر صحت و سرعت موردنیاز، بین تمام زیرساخت های بانکی به اشتراک گذاشته شود و همه بتوانند از آن سرویس استفاده کنند.
اتفاقی در نظام بانکی در حال رخ دادن است که یک مبحث حقوقی است و قرار بود در خدمت یکی از دوستان حقوقدان باشیم اما میسر نشد. اینکه اگر کسی از مشتریان بانکی دچار خطا و فیشینگ شود، وقتی به دادگاه شکایت کند، حکم دادگاه چیست؟ حدود یک سال و نیم پیش، اگر مردم به دادگاه مراجعه می کردند، به نفع مردم رای داده می شد و بانک، باید جبران خسارت می کرد اما در وضعیت کنونی، گویا این اتفاق نمی افتد و رای به نفع بانک ها صادر می شود. البته بنده هم قبول دارم فرد اشتباه می کند و به URL دقت نمی کند، اطلاعات کارت بانکی را می دهد و سوءاستفاده کننده حساب وی را خالی می کند اما با توجه به پیشرفت فناوری ها باید نگاه به مشتری هم لحاظ شود. یک مثال بزنم. اگر بنده که اینترنت بانک ملت دارم و مثلا چند ساعت قبل، از بقالی محله با کارت بانکی، خرید انجام داده ام و سپس، به فاصله دو ساعت، از یک سایت، خرید کرده ام اما لوکیشن بنده از تهران به آلمان تغییر پیدا کرده است. فکر می کنم به واسطه فناوری، این IP را اگر خود بانک، سرویس آن را داشته باشد، بتواند شناسایی کند که چگونه فرد در فاصله چند ساعته در تهران، ناگهان در آلمان خرید کرده است! یا سرویس جی میل را می توان مثال زد. با هر دیوایس و IP جدید وارد ایمیل شوید، از شما تاییدیه دومرحله ای می خواهد که آیا خودتان هستید یا خیر؛ با این حال، این موضوع را در نظام بانکی نداریم. در اینجا، وظیفه نظام بانکی به واسطه ارتباط با مشتری یا مسوولیت اجتماعی  چیست؟ آیا بانک ها به این موضوع فکر می کنند که با استفاده از فناوری، امنیت مشتریان خود را افزایش دهند یا خیر؟
تنها: سوال خوبی مطرح کردید. بحث فیشینگ، در حوزه فراددیتکشن می گنجد. سیستم بانکی، با توجه به ظرفیت شناختی ما نسبت به ارائه خدمات به مشتری در کشور، آن طور که باید فعالانه نسبت به این مساله برخورد کند، برخورد نکرده است. البته اقدامات بسیار موثری در حوزه مقابله با فیشینگ در نظام بانکی صورت گرفته و از مشتریان محافظت شده است. به هر حال ما با قشری از مشتریانی سروکار داریم که به خاطر میزان آگاهی آنها نسبت به فناوری، باید موردحمایت قرار گیرند و اطلاع رسانی، آموزش و فرهنگ سازی در دستورکار قرار گیرد تا اگر هنگام دریافت خدمات، مشتریان احساس می کنند تراکنش، مشکوک است، از طرف بانک به مشتریان هشدار داده شود. اوایل که فیشینگ اتفاق افتاده بود، عرض کردم فرض کنیم فردی به صورت فیزیکی، بر روی یکی از مغازه های تهران، تابلوی بانک، نصب کند و یک سری مشتریان به صورت فیزیکی، درخواست خدمات کنند و از اطلاعات یا پولی که داخل آن شعبه فیک یا تقلبی قرار می دهند، آسیب ببینند. آیا بانک  برای محافظت از برند، نباید رصد کند تا مشتریانش به خطر نیفتند؟ صددرصد با این موضوع موافقم. سیستم بانکی باید حتما برای محافظت از برند و باارزش ترین موجودیت این اکوسیستم که همان مشتری است، اقداماتی انجام دهد. در اینجا موضوع فراددیتکشن، مطرح می شود که بحث کسب وکاری است. ما در کشور، مشکلی از نظر دانش فناوری نداریم بلکه موضوع اصلی، بلوغ زیرساخت های نرم افزاری ماست. در مهندسی نرم افزاری، آن انتظاری که از رشد، بلوغ و توسعه معماری زیرساخت نرم افزاری مان داریم، با یک کمپانی که جزء پنج کمپانی برتر دنیاست و حتی درآمد یکی از آنها از کل درآمد و اقتصاد یک کشور حتی ایران، بزرگ تر است، قابل مقایسه نیست. البته معنایش این نیست که ما نباید در این مسیر قدم بگذاریم. فکر می کنم اکثر بانک ها، کمپانی ها و شرکت هایی که زیرساخت-های نرم افزاری بانک ها را تولید می کنند، به این نکات توجه دارند و اتفاقات خوبی نیز در این سیستم رخ می دهد. روز اول که این اتفاقات می افتد، برخی از بانک ها، آمادگی لازم برای مقابله با آن را ندارند. اگر بانک خودمان را مثال بزنم از مردادماه که موضوع فیشینگ، بیشتر شیوع پیدا کرده، اتفاقات زیادی در بانک  رخ داده است. بانک ها، از چند منظر نسبت به این مساله برخورد کردند. یکی از اقدامات این است که ما در زمینه فراددیتکشن قدم برداشتیم و اقدامات اولیه را انجام دادیم. اقدام دیگر، تشکیل گروه های رصد برای شناسایی و تشکیل پرونده های حقوقی، درخواست هاستینگ ها و اعتراضات کتبی و قانونی برای جلوگیری از سایت ها بوده است. اقدام دیگر در حوزه فرهنگ سازی است. در این زمینه، تیم امنیت بانک ها، با ساخت کلیپ و آموزش، فعالیت می کنند. با وجود همه این اقدامات، مثلا پیامک به مشتری درخصوص OTP ارسال می شود که تراکنشی به فلان مبلغ است و قرار است به فلان ذینفع ارسال شود، آن را به کسی ندهید، اما باز هم هکرها، از ضعف انسانی استفاده می کنند و علی رغم همه هشدارها، امکان فیشینگ و ضرر به مشتری وجود دارد و به صفر نمی رسد اما می توان آن را به حداقل رساند. در حال حاضر، ما نسبت به چهار ماه پیش، در حوزه بانکی، درخصوص فیشینگ، بسیار بهتر و قوی تر عمل می کنیم و آمارها نیز بیانگر کاهش فیشینگ و زیان مشتریان در این زمینه است اما کافی نیست. موضوع دیگر اینکه اقتصاد آزاد و رقابتی در کشور ما کمرنگ است و رقابت شدیدی بین بانک ها، برای جذب و نگهداشت مشتریان مشاهده نمی شود. فرض کنید در حوزه کارمزد و خدمات، رگولیشنی انجام می شود اما بازار این کارمزدها را تعیین نمی کند یا اینکه اگر یک بانک، سرمایه گذاری اش در حوزه آی تی و زیرساخت ها، پنج برابر یک بانک دیگر باشد، عملا عایدی بانک ها در حوزه خدمات غیرمشاع تفاوت چندانی نمی کند؛ یعنی بازار آن را تعیین نمی کند. تجربیاتی در سیستم های بانکی دنیا وجود دارد. با ظهور بانک های جدید در دنیا، بانک ها نقش آفرین هستند. مثلا اگر ما در بانکی حساب باز می کنیم ممکن است ماهانه ۲۰ دلار هزینه نگهداشت حساب داشته باشد که یک بانک با استفاده از روش هایی که هزینه هایش را کاهش داده، حتی خدمات رایگان به مشتریان ارائه می دهد. یکی از دلایلی که بانک های ما، چندان روی سرمایه مشتری، سرمایه گذاری نمی کنند و حتی برخی اوقات، نسبت به اتفاقاتی که برای مشتریان می افتد و مسوولیتش به خود مشتری برمی گردد، چندان توجه نمی کنند، همین موارد است. باید بازار را رقابتی تر کنیم و اختیار قیمت خدمات، در دست بانک ها باشد. وقتی قیمت را دیگری تعیین می کند، این اتفاقات، رخ می دهد و ممکن است مشتری، قربانی شود. وقتی تفاوت چندانی بین این بانک و آن بانک نباشد، عملا معنایش این است که مشتری ممکن است به بانک دیگری برود اما اگر حول ارزش هایی که برای مشتری ایجاد می کنیم، برای خودمان هم ارزش آفرینی می کردیم، وفاداری مشتری ایجاد می شد. اگر این وفاداری در بازار تجارت، درآمد متفاوت و متمایزی برای بانک نداشته باشد، بی انگیزه است و فقط شهرت، حفظ برندینگ و… می ماند. اگر مدل های درآمدی کارمزدی بازار متفاوت می شد، رقابت سالم، ارائه خدمات متمایزتر را به همراه داشت.
دقیقا به نکته درستی اشاره کردید. با اینکه ۳۴ بانک و تعدادی موسسه اعتباری داریم، اصلا به عنوان یک مشتری نمی توانم مشاهده کنم بانک ها، موافق رقابتی بودن بازار خدمات بانکی در کشور باشند. عملا فرقی نمی کند در کدام بانک، حساب داشته باشیم. غالبا علت اینکه افراد در یک بانک، حساب باز کرده اند این بوده که محل کارشان این بانک را معرفی کرده و افتتاح حساب در یک بانک خاص، اجبار و الزام بوده است. برای سپرده  گذاری هم به منظور سرمایه گذاری به یک بانک مراجعه می کنیم نه برای گرفتن خدمت. اگر سر در بانک های موجود را تغییر دهیم، هیچ خدمت اضافه ای به مشتری نمی دهند. به قول شما، یک روش این بود که فضا را در حوزه کسب وکار، آزاد بگذاریم تا هر بانک بتواند نرخ خدمات خود را بگیرد و مشتریان بر اساس قیمت، کیفیت یا… به یک بانک مراجعه کنند. سال هاست صحبت از رتبه بندی نظام ارزشی بانک ها در کشور توسط بانک مرکزی مطرح است. آیا شما دیده اید بانک مرکزی، رتبه بندی کرده باشد؟ چرا رتبه بندی نمی کند؟! این کار، هیچ ایرادی ندارد و مشتری یا صاحب کسب وکار می تواند حق انتخاب داشته باشد اما متاسفانه بانک مرکزی هم در این حوزه، وظایف خود را به درستی انجام نمی دهد.
تنها: یک مثال ساده بزنم. وقتی یک بانک دولتی، به نام بانک ملی داریم اما به عنوان کارمند رسمی یک بانک دیگر، می بینیم که آن بانک تحت حمایت دولت است و سود و زیان در آن مطرح نیست، اما در محدوده درآمدی بانک های خصوصی و نیمه-خصوصی قرار می گیرد، رقابت با این بانک در حوزه مشتریان خُرد، بی معنا خواهد بود. وضعیت ریشه ای سیستم بانکی ما، به مباحث کلان کشور و ساختارها برمی گردد. اصلاحات کلان باید اتفاق بیفتد. الان می گوییم بسیاری از بانک ها را خصوصی کردیم اما اینها واقعا خصوصی نیستند و سیستم مدیریت شان، دستخوش مدیریت دولتی است. همه جای دنیا، وقتی موضوع عرضه و تقاضا و بازار آزاد مطرح می شود، بازار جایگاه خودش را پیدا می کند و رشد فناوری به کمک سیستم می آید و تجربه خوبی برای مشتری ایجاد می کند. برخی مشکلات در جامعه ما، در حد یک سازمان برای حل شدن نیست و باید از بالاتر به آن نگاه کرد.
درد بزرگ اینجاست که در ماجرای فراددیتکشن، مثلا اگر پیرزنی در روستاهای جنوب کشور زندگی می کند، حساب وی را اجاره کرده و به اسم وی، پولشویی و قمار می کنند و اگر سیستم، آن را بعد از مدتی کشف کند، قوه قهریه به سراغ وی می رود. در صورتی که اگر نظام بانکی، از سیستم های فناوری هوشمند و فراددیتکشن در این حوزه استفاده کند، مشاهده خواهد کرد که حساب این پیرزن، سالانه، ۱۰ میلیون گردش نداشته اما چگونه یک شبه، در ساعات مختلف، با تعداد تراکنش بالا، مثلا یک میلیارد پول جابه جا  شده است! درست است که در اینجا خود فرد، به خاطر نداشتن دانش لازم، مقصر است اما باید مسوولیتی هم برعهد بانک باشد اما گویا این مسوولیت  وجود ندارد و بانک ها از نظر قانونی در این حوزه، پاسخگو نیستند. شاید یکی از دلایلی که فراددیتکشن در بانک ها، جدی دیده نشده، فقدان مسوولیت بانک هاست. چقدر با این موضوع موافقید؟
تنها: ما به عنوان یک بانک، به اندازه کافی مسوول اتفاقاتی که می افتد، هستیم اما این موضوع، اقدامی است که در چند جبهه باید با آن مبارزه کرد. ما می گوییم حتما اکوسیستم بانکی کشور باید به اکوسیستم بیرونی متصل باشد. مثال ساده می زنم. وقتی در بانک، تسهیلات می دهیم یا افتتاح حساب می کنیم، مدارکی را از مشتری درخواست می کنیم اما برای راستی آزمایی این مدارک، قدرت لازم را نداریم. در نتیجه وقتی جذب مشتری، به عنوان ارزش تعریف می شود، ممکن است سازش هایی درباره مستندات داشته باشیم. مثلا درخصوص مستندات دستمزدی، بانک نمی تواند از همه سیستم ها استعلام یا کنترل کند که آیا مشتری، مدارک شغلی را به درستی به بانک ارائه کرده یا خیر. فرض کنید مشتری قرار است پول نقد را در بانک بگذارد و به خاطر سیاست های مبارزه با پولشویی باید مدرکی ارائه کند و آن مدرک، مستندی برای معامله است اما بانک، قدرت ندارد این معامله را راستی-آزمایی کند. برای این کار، بانک باید این امکان را داشته باشد که به صورت وب سرویس و ارتباط با سازمان های ذینفع مانند ثبت اسناد و املاک، ثبت احوال، سازمان امور مالیاتی، بیمه، وزارت تعاون، کار و رفاه اجتماعی و نظایر آن، در همان بدو ورود، فیلترینگ انجام دهد. سیستم اعتباری افراد در کشور چگونه است؟ اینکه برای یک نفر حساب، باز کنیم یا سطح تراکنش مجاز یک فرد را در سیستم بفهمیم، اعتبار آن باید قابل اندازه گیری و قابل احصا باشد. سیستم بانکی در زمینه زیرساخت ها، سرمایه گذاری کرده اما برخی اوقات، وظایفی به اشتباه بر عهده سیستم بانکی گذاشته می شود که در حیطه، توان و قدرت بانک نیست اما بانک با پذیرش یک ریسک آن کار را انجام می دهد. از یک طرف درباره قوانین هم باید فکر کنیم. نمی دانم در خصوص جرم انگاری برای حساب اجاره ای، قانونی وجود دارد یا خیر. نهایت اینکه فرد حسابش را در یک بانک می بندد و در بانک دیگر حساب، افتتاح می-کند. چون حرکت نادرست وی برای اجاره دادن حسابش، تاثیری در اعتبار این فرد نمی گذارد و جای دیگری هم متوجه نمی شود. بنابراین انگشت اتهام را متوجه یک سیستم کردن، کار درستی نیست. بانک ها نیز به خاطر ریسک، رقابت و نظایر آن، تا حدی سهل انگاری می کنند. همین که سرمایه گذاری جدی، با همین اطلاعات موجود خودشان، بر روی فراددیتکشن انجام ندادند، بیانگر این است که می توانستند مسوولیت شان را بهتر انجام دهند.
مباحثی که اشاره می کنید، جذاب و در سر جای خودش، درست است اما وقتی به صورت فردی صحبت می کنیم، راه به جایی نمی برد چون طرف مقابل، رگولاتوری است که تامین نیازهای بانک در حوزه زیرساخت و دیتا برای اعتبارسنجی و راستی آزمایی توسط این سیستم باید صورت  گیرد. خواهش من این است با توجه به وجود کانون بانک های دولتی و خصوصی، هر دو نهاد، این موضوع را تبدیل به یک مطالبه کرده و پیگیری نمایند. این موضوع، مشکلی است که نظام بانکی با آن مواجه است اما فقط حرف آن زده می شود. در نقطه عمل، مشاهده نکردم جایی توسط بانک ها، اتفاقی افتاده باشد.
تنها: چرا اتفاق افتاده است! آقای دکتر صادقی بهتر می توانند توضیح دهند. الان در مصوبات شورای عالی فضای مجازی، تکالیف بسیار خوبی برای مالیات، ثبت اسناد، ثبت احوال، پست و… گذاشته شده است.
اما متاسفانه ضمانت اجرا ندارد.
تنها: به کندی پیش می رود. فشاری که بانک مرکزی به بانک ها درخصوص اطلاعات وارد می کند، چیزی است به نام ذینفع واحد. فردی در حلقه دوستان و آشنایان، تشخیص می دهد با این شبکه ای که در سیستم بانکی دارد، چه تعهداتی دارد و رفتارش چگونه است در حالی که بانک مرکزی به طور جدی پیگیر این است که مثلا بانک مشخص کند فلانی همسر صاحب حساب است یا… در حالی که این امر، واقعا کار سیستم بانکی نیست. همچنین وقتی نشت اطلاعات از سوی سازمان های دولتی صورت می گیرد، بعضا گارد می گیرند و ارائه اطلاعات و خدمات، به شدت کاهش می یابد.
بله درست است اما عرض من این است که به صورت جمعی، بانک ها، مطالبه گری و بیانیه صادر کنند. الان انتشار یک فیلم در شبکه های اجتماعی، تبدیل به یک بحران می شود و مدیران ارشد نظام، مجبور به پاسخگویی می شوند. نمی توان گفت در نظام بانکی، این قدرت وجود ندارد و راه به جایی نمی برد.
تنها: در آلمان، چیزی به نام «شوفا» وجود دارد. اگر فردی یک قبض را پرداخت نکند، هیچ جای مملکت، به او حتی یک USB در حد ۱۰۰ یوروی قسطی نمی دهند. باید تعیین تکلیف کند. ما با جمعیت ۸۰ میلیونی کشور، باید برای هر فرد، یک پروفایل اعتباری کاملا شفاف داشته باشیم. مگر آقای رئیس جمهور و تیم های فنی این موضوع را نمی دانند؟! حتما می دانند و برای آن یک سری مصوبات و دستورالعمل های اجرایی نیز ارسال کردند اما آیا توان اجرایی در کشور وجود دارد و همه ادارات به آن سمت رفته اند؟ وقتی سوال می شود، می گویند به ما بودجه نداده اند، این پروژه، متوقف است!
بالاخره شوفا هم امروز شوفا شده و از اول نبوده است. روزی تصمیم گرفته اند و الان به اینجا رسیده است. بگذریم… آقای مبین زمانی، رئیس هیات مدیره شرکت پیراد، روی خط هستند و نکاتی مدنظر دارند. چون وقت، محدود است، خواهش می کنم، مختصر بفرمایید.
زمانی: من می خواستم نکته ای را درخصوص فلوچارت رگولیشن عرض کنم. با توجه به توسعه بسیار سریع زیرساخت ها، تکنولوژی ها و فرایندها، دیگر به این شکل نیست که فقط چند نفر تصمیم بگیرند و موضوعی را رگوله و اعلام کنند. این نیاز، باید از کف بازار بیاید. چیزی که الان رگوله می شود، مشکل چهار پنج سال پیش است. مشکل قمار و فیشینگ، چند سال پیش ایجاد شده اما الان تازه در حال رگوله شدن است. چه کسی بهتر می داند نیاز چند سال آینده چیست؟ به نظر بنده، اول فین تک-ها و سپس بانک ها هستند. البته آن مراکزی که دوستان اشاره کردند که بابت تبادل اطلاعات است، جای خود دارد. با توجه به اینکه کار ما بانکداری شرکتی است و سال هاست در این حوزه فعالیت می کنیم، فقط از یکی از سامانه های خودمان مثال عرض می کنم تا ببینیم کجای رگولیشن، همین الان، حتی اگر تمام الگوریتم ها هم پیاده شده باشد، می تواند جلوی آن را بگیرد! اگر ما بتوانیم تبدیل یک سری تراکنش در بانکداری غیردیجیتال را به دیجیتال انجام دهیم، موفقیت های بسیار بزرگی حاصل خواهد شد. در سامانه ای که پرداخت های حوزه لجستیک بین  شهری را انجام می دهیم، در یک شهر در بندرعباس، در دو یا چند انبار دیگر، ۱۰۰ نفر بیرون انبار حضور دارند و دو اتاقک پر از پول نقد است. تعداد زیادی، خودرو به آنجا می رود و راننده ها می خواهند تسویه کنند. راننده بارنامه را می دهد. بارنامه اوراق بهادار است. به این موضوع، توجه داشته باشید. به او می گویند یا بارنامه را نگه دار و یا چک صادر می کنند و یا یک رسید ساده می دهند. هر کدام از اینها که دست راننده باشد، آن ۱۰۰ نفر بین ۵۰۰ میلیون تا یک میلیارد تومان، پول نقد همراه شان است. حتی تمام شنوندگان این پادکست که کار بانکی انجام می دهند، فکر نمی کنم تا هفته آینده، ۱۰۰ نفر بتوانیم ۱۰۰ میلیارد تومان پول نقد بیاوریم! به راحتی اینها را از راننده با رقم های ۳، ۵، ۸ میلیون و مانند آن می خرند و خودشان آن را نقد می کنند چون قدرت نقدشوندگی آن بالاست و ۵ تا ۱۰ درصد هم بهره (discount) می گیرند که مشکلات خودش را دارد. با این پول نقد، راننده، بار می زند و به سوپرمارکت پرداخت می کند و ۱۲ تا ۱۴ درصد، هزینه شرکت باربری می دهد، غذا می خورد و گازوئیل می زند و تمام؛ یعنی شبکه قمار در مقابل همین چند انبار و جابه جایی پول نقد چیزی نیست. این تراکنش ها، کی و کجا رصد می شود؟ به همین خاطر نیاز است فضایی وجود داشته باشد که دوستان تجربیات شان را به اشتراک بگذارند؛ خصوصا اینکه ما در بانکداری شرکتی، بسیار مشکل داریم. در بانکداری خرد، بسیاری موارد شناسایی شده اما در زمینه بانکداری شرکتی بسیار کم، کار شده و سامانه ای هم نداریم. اگر بانک ها مدعی هستند که بانکداری شرکتی انجام می دهند، خدمات شان کپی همدیگر است. واقعا این تراکنش ها، کجا حل می شود و به اطلاع رگولاتور می رسد؟ و چه زمانی راه حل فین تک ها مدنظر قرار می گیرد؟
جناب عباس نژاد! اگر نکته ای درباره اظهارات آقای زمانی دارید، بفرمایید.
عباس نژاد: توضیحات آقای زمانی، بیشتر در حوزه امنیت فرایندی بود نه امنیت سایبری. بنده متخصص این موضوع نیستم. صورت مساله را متوجه شدم اما اینکه راه حل آن چیست، در حوزه تخصصی من نیست اما اینکه نقطه مشترکی برای اشتراک گذاری تجربیات وجود داشته باشد و در آنجا، این اتفاقات رخ دهد، بسیار خوب است.
با توجه به دستورالعمل ها و الزامات بانک مرکزی، در حوزه کارت، رمز دوم و در بانکداری اینترنتی، رمز یک بار مصرف را داریم که الزامی شده اما شاهد سوءاستفاده و تقلب در این حوزه هستیم. از نظر فنی، چگونه چنین چیزی امکان پذیر است و راه حل شما برای رفع این مشکل چیست؟
عباس نژاد: من سناریوی اتفاق را برای شما توضیح می دهم و راه حل پیشنهادی بانک مرکزی و رگولاتور که درخصوص استفاده از رمز پویا بوده، بررسی می کنم. اگر درگاه پرداخت و رمز دوم کارت را کنار بگذاریم و صرفا درباره اینترنت بانک صحبت کنیم، باید عرض کنم در زمینه اینترنت بانک، با الزامات و دستورالعمل های بانک مرکزی، درخواست مدعی العموم و دادستان، رمز دوم یا یک بار مصرف برای صفحات بانکداری اینترنتی الزامی شد. این اتفاق، برای سه چهار ماه مناسب بود اما بلافاصله بعد از آن نفوذگران، سوءاستفاده کنندگان و متقلبان راه جدیدی پیدا کردند! راهش این است که سرویس را پروکسی کنند. همین الان از طریق سامانه متمرکزی که فیشینگ ها را تشخیص می دهیم، ملاحظه کردم از ساعت ۵ صبح تا الان (حدود ساعت ۱۳)، سه سایت فیشینگ، آپ شده در حالی که چون روز تعطیل است، هنوز فیلتر نشده و ۱۱ بار تبلیغ فیشینگ در گوگل نمایش داده شده که عدد بزرگی است. می توان با توجه به اطلاعات قبلی و با یک ضریب، تشخیص داد چقدر از اینها، قربانی گرفتند و برای هر کدام از قربانی ها، چه اتفاقی افتاده است! روش این است که نفوذگر، عینا صفحه بانک را پروکسی می کند و یک تبلیغ گوگل می گذارد مثلا برای بانک سپه و هرکس که اینترنت بانک سپه را سرچ می کند، اولین پاسخی که در جستجو می بیند، تبلیغ گوگل را مشاهده می کند بدون اینکه توجه کند این لینکِ اصلی بانک نیست و تبلیغ گوگل است. چون اولین نمایش و نتیجه سرچ بوده است، کلیک می کند و صفحه همیشگی بانک سپه را می بیند و با اینکه با دامین فیک نمایش داده می شود، اما https است، بنابراین کاربر یوزرنیم، پسورد و کپچا را می زند، همگی روی سایت کلاهبردار می آید و او به صورت اتوماتیک با استفاده از ربات به بانک ارسال می کند و سپس پیامک برای کاربر واقعی ارسال می شود و کاربر آن وارد می کند و دوباره به سایت کلاهبردار ارسال می شود. سایت کلاهبردار همان را برای بانک، ارسال می کند و کاربر در بانک، لاگین می شود. از این لحظه به بعد، تمامی فرایندها در اختیار هکر است و وی می تواند از آن استفاده کند و بر اساس آن، درخواست انتقال وجه، ساتنا و… را داشته باشد و کاربری که این اشتباه را انجام داده، احتمالا دوباره پیامک بعدی را در پنل وارد می کند و با توجه به اینکه پنل، کاملا پروکسی شده کلاهبردار است، کل اطلاعات در اختیار کلاهبردار قرار می گیرد و تراکنش ها هم انجام می شود. با این روش، عملا استفاده از رمز یک بار مصرف برای خدمات، کارآیی خودش را به مقدار زیادی از دست می دهد. راه حلی که فکر می کردیم ریسک را در حد قابل قبول کاهش می دهد، موفق نبوده و ریسک در حد قابل پذیرش نیست. پرونده های بسیار زیادی که در پلیس فتا باز است و نیز شکایات متعدد مردم در زمینه تقلب، نشان می دهد راه حل استفاده شده، لازم است اما کافی نیست. بنابراین بانک ها، وظیفه دارند در مقابل امنیت مشتریان شان به صورت فعال برخورد کنند و تشخیص دهند چه سایت های فیشینگی در برابر برند آنها وجود دارد و سریعا آنها را پیگیری کنند نه اینکه فقط زمانی که فیشینگ رخ داده، وب سایت را مسدود کنند. درباره نمونه ای که ساعت ۵ صبح امروز، اتفاق افتاده، با اطمینان عرض می کنم بانک هنوز خبر ندارد چون از تکنولوژی های هوش امنیتی استفاده نمی کند. همچنین قانون در این زمینه، می گوید مسوولیت بانک، ایجاد رمز پویا بوده و بقیه آن، اشتباه کاربر بوده است. بله درست است! فیشینگ، بدون شک بر اثر اشتباه کاربر رخ می دهد اما ما رمز دوم کارت یا OTP اینترنت بانک را برای چه ایجاد کردیم؟ این کار، جزء مسوولیت-های بانک بوده که از مشتری حمایت کند. در این حوزه نیز الزاما بانک ها باید چنین کاری را انجام دهند. برخی بانک ها این کار را برای خودشان انجام داده اند که خوب است اما باید عرض کنم همین اتفاقی که ساعت ۵ صبح امروز، رخ داده، برای سه بانک مختلف بوده، ولی هر سه بانک، یک IP مشترک دارند که فرد فیشینگ کننده به عنوان هاستینگ از آن استفاده می کند! در نتیجه اگر بانک ها با هم در ارتباط بودند و به جای دامین نِیم، فیلترینگ را روی IP آدرس انجام می دادند، بانک های بعدی دچار این مشکل نمی شدند؛ به عبارت دیگر هزینه انجام کلاهبرداری برای نفوذگر این قدر زیاد می شد که وارد چنین فضایی نمی شد و زنجیره اش زودتر قطع می شد. این موضوع، بیان مشکل است اما راه حل آن چیست؟ خوشبختانه در نامه های اخیر بانک مرکزی و درخواست هایش از هیات مدیره و مدیرعامل بانک ها، از آنها خواسته که از کارآیی و اثربخشی قابلیت های سامانه مدیریت مخاطرات تقلب، به نحو مقتضی، حصول اطمینان کنند. طبیعتا الان مدیرعامل و هیات مدیره بانک ها باید مطمئن باشند سیستم های آنها کارآیی و اثربخشی لازم را ندارد. بنابراین باید سامانه باهوشی را راه اندازی کنند که هم بتواند الگوهای رفتاری نامتعارف را تشخیص دهد و هم بلک لیست های مختلف داشته باشد و هم در فرصت کوتاه بتواند پاسخ بدهد. یکی از مشکلات این است که علی رغم کشف تقلب، بعد از آن، یک مرکز واکنش سریع وجود ندارد که بتواند واکنش، نشان دهد. روش جمع آوری ادله برای ارائه به دادگاه یا سایر نهادهای قانونی، کافی نیست. طبیعتا اگر در بانک مرکزی هم مرکز واکنش سریع و عملیات مشکوک وجود داشته باشد، می توان با بانک مرکزی، این ارتباط را برقرار کرد که این اطلاعات بین بانک ها، اشتراک گذاری شود و در نتیجه تحلیل پرونده های مرتبط با عملیات مشکوک و تقلب، سرعت بیشتری داشته باشد. نتیجه نهایی این خواهد بود که پاسخگویی به تقلب و سوءاستفاده در شبکه بانکی کشور، بهنگام و سریع باشد و عملا عملیات مشکوک شناسایی شده در کل شبکه بانکی بین این NTTها، در ارتباط قرار گیرد و در مورد آن صحبت شود. پیشنهاد بنده این است که در تمام بانک ها، امنیت مشتری، اولویت بیشتری داشته باشد. امنیت زیرساخت های بانک، امنیت سایبری است و امنیت سیستم های بانکی از منظر فرایندهای  آنها و مبتنی بر ریسک، مساله دیگری است که باید کسب وکاری تر به آن توجه کرد و باید سیستم های باهوشی باشند که این موارد را تشخیص دهند و این سامانه های مدیریت مخاطرات تقلب، به صورت مکانیزه و سیستمی، با سامانه متمرکز بانک مرکزی برای مدیریت تقلب، در ارتباط باشند و با این ارتباط، احتمالا مشکلات به شدت کاهش می یابد و ریسک، در حد قابل قبول خواهد بود.
جناب صادقی! به عنوان آخرین سوال، به نظر حضرتعالی، وظیفه بانک مرکزی و مراکز رسیدگی به رخداد در این حوزه چیست؟ چرا بانک ها در این زمینه، با همدیگر هماهنگ نیستند و از تجربیات یکدیگر استفاده کافی نمی کنند؟ ضمن پاسخ به این سوال، چنانچه نکته پایانی مدنظر دارید، بفرمایید.
صادقی: آنچه باید انجام شود، عملیات متعارف است که همه کارشناسان و مدیران حوزه فناوری اطلاعات با آن، آشنا هستند. مثلا اینکه برای سامانه ها، تست امنیت انجام دهیم. از خدمات نسبتا جدیدتری استفاده کنیم که خود بانک ها می توانند تک به تک جا بیندازند یا بانک مرکزی به نمایندگی از بانک ها برای همه آنها ایجاد کند و تست های لازم را در این زمینه انجام دهد. ما در مرکز ماهر ظرفیتی داریم که برای زیرساخت بانکی قابل استفاده است یا اینکه بانک ها می توانند به سمت استقرار ISMS بروند. چون برخی بانک ها، بر اساس گزارشی که از همکاران دریافت کردم، اساسا اقدامی در این زمینه انجام نداده اند یا اینکه باید به سمت راهکارها و سامانه های مربوط به پیشگیری و کشف تقلب حرکت کنند و آموزش های موردنیاز را در این زمینه باید حتما پیش بینی و اجرا نمایند. موضوع امنیت، تمام نمی شود. خود کارشناسان و مدیران مرتبط در تمام حوزه های فناوری اطلاعات، باید آموزش های لازم را ببینند. در زمینه، فرایندهای تامین محصولات و خدمات مربوط به زیرساخت های دیجیتال بانک، باید به جنبه های امنیتی آن، بیشتر توجه شود. این محصولات باید همگی از آزمایشگاه های رسمی در کشور، تحت عنوان آزمایشگاه های افتا، تاییدیه و گواهینامه مشترک سازمان فناوری اطلاعات و مرکز افتا را گرفته باشند تا حداقل تست های ساده، روی آن انجام شده باشد. ما انتظار داریم وقتی بانک با یک فین تک قرارداد می بندد که گردش مالی بالایی دارد، روی اپ، پورتال و… آن، تست-های امنیتی در آزمایشگاه صورت گیرد. اگر دوستان بانکی تمایل داشته باشند، مجموعه اینها را از طریق مرکز ماهر می توانیم در اختیار قرار دهیم تا با هر فرمت و ساختاری که خودشان مدنظر دارند، از آن بهره برداری کنند. شاید بسیاری مطلع نباشند اما بیشترین حجم بستن و مقابله با سایت های فیشینگ را مرکز ماهر انجام داده است. دیگران کشف می کنند اما ما دنبال می کنیم و رویکرد فعالانه داشته ایم. از ابتدای امسال تا کنون، بین ۱۱۰۰ تا ۱۲۰۰ سایت فیشینگ را مسدود کردیم و این کار را به طور مستقل انجام دادیم و نیاز به هماهنگی با نهاد دیگر نداریم. چون ما سرت هستیم وقتی درگاه ها را کشف می کنیم، به سرت های کشورهای دیگر، سریعا اطلاع رسانی می نماییم و در آنجا به سرعت روی آن اقدام می شود چون سرت آن کشور، چک می کند و متوجه می شود پیام از سرت کشور دیگری ارسال شده است. ما هم مواردی را داشتیم که متقابلا این کار را انجام دادیم؛ یعنی فیشینگ های بانک های خارجی بوده که در داخل هاست یا میزبانی و به ما اطلاع رسانی شده و سریعا هماهنگ کردیم. بنابراین در داخل هم بوده است. این فیدهای TI در بانک ها نیز قابل استفاده و به صورت تک به تک توسط هر بانک قابل انجام است اما اقدامات تجمیعی و سطح بالا، نقش کلیدی دارد؛ یعنی آنچه در دایره رگولیشن باید انجام شود و آنچه در مراکز هم افزایی قابل انجام است، مانند آیزک بسیار مهم است. در نتیجه اگر این زیرساخت ها شکل نگیرد، اقدامات مجزای بانک ها، جزیره ای خواهد بود و اگر آن رگولیشن وجود نداشته باشد، معلوم نیست چقدر به این سمت، حرکت می کنند. بنابراین ایجاد رگولیشن سطح بالا داخل سیستم بانکی، هماهنگ کردن این رگولیشن با رگولیشن ملی و فید کردن در آن ساختار و انجام یک سری عملیات در دو لایه مهم است. یک سری عملیات برای افزایش اثربخشی، دقت، کیفیت و کاهش زمان باید در سطح متمرکز صورت گیرد و یک سری عملیات در سطح خود بانک ها به طور مستقل و حتی کل شبکه پرداخت اعم از فین تک ها و… می تواند انجام شود. مجموع این اقدامات، می تواند معدل امنیت نظام بانکی را ارتقا دهد. متریک ما نیز یک چیز بیشتر نیست. وقتی پول از حساب مشتری، کسر می شود، اگر سیستم های کنترلی بانک، آن را یک تراکنش غیرمجاز تشخیص ندهد و ظرف مدت ۴۸ یا ۷۲ ساعت، به حساب مشتری برنگرداند، مشتری ممکن است شکایت کند و این شکایت، منجر به این شود که پول به حساب وی برگردد. بنابراین متریک مشخصی از اثربخشی مجموع این اقدامات وجود دارد و آن، تعداد پرونده های ماهانه ای است که در زمینه شکایت از بانک ها و نظام های پرداخت در دادسرای جرایم رایانه ای تشکیل می شود. مثلا می توانیم شاخصی مانند همین وضعیت را تعریف و توافق و ماهانه آن را مانیتور کنیم و ببینیم وضعیت به چه سمت وسویی پیش می رود. این امر، نشان می دهد آیا جهت حرکت ما درست بوده یا خیر؟ و آیا اقدامات ما اثربخش بوده یا خیر؟ امیدوارم اگر نکات ذکرشده خوب بود، از آن استقبال شود و اگر ایراد داشت، نظرات  منعکس شود تا اصلاح کنیم. همچنین هر کمکی از مرکز ماهر ساخته باشد، با تمام توان، ارائه خواهیم کرد.
جناب تنها و جناب عباس نژاد! به عنوان آخرین سوال، در شرایط حاضر، راه حل بهبود وضعیت امنیت صنعت بانکی را در چه مواردی می دانید؟ همچنین اگر جمع بندی و نکات پایانی مدنظر دارید، بفرمایید.
تنها: به نظر من، باید در سطح کلان، اتفاقات اساسی در کشور رخ دهد و اگر قرار است خودمان و سیستم بانکی مان را با گوگل و اقتصاد کشورهای دیگر دنیا مقایسه کنیم، باید موارد مختلفی را مدنظر قرار دهیم. بانک مرکزی ما، قسمتی از دولت است در حالی که در دنیا، استقلال بانک مرکزی وجود دارد. سیستم بر اساس رقابت در بخش خصوصی، شکل می گیرد. الان موضوع رگ تک در حوزه رگولاتوری مطرح است مانند بحث فین تک ها. باید شرکت هایی وجود داشته باشند که به رگولاتورها، سرویس ارائه کنند یا در زمینه رگولاتوری، سرویس بدهند. این مفاهیم، زیباست اما وقتی در کشوری زندگی می کنیم که قسمت عمده ای از سیستم، دولتی است و حتی شرکت هایی که به نام بخش خصوصی فعالیت می کنند، به نوعی وابسته به دولت هستند، اکثر پروژه ها، مشابه پروژه هایی با بودجه محدود می شود و بازار در آن تاثیرگذار نیست و اتفاق اساسی که باید رخ دهد، نمی افتد. بنابراین بانک ها و سیستم ها باید در محدوده خودشان، استاندارد کار کنند و برای افزایش ضریب امنیت خودشان، حفظ و حراست از اطلاعات و ارائه تجربه خوب و امن به مشتریان تلاش کنند. توصیه ام به خودمان به عنوان بانک ها این است که فعالانه تر عمل کنیم اما اگر بخواهیم در این اکوسیستم، یک جریان زندگی امن برای مشتریان جاری شود، تغییرات بسیار بنیادی باید در کشور اتفاق بیفتد که به نظرم، فعلا رخ نخواهد داد. بنابراین بهتر است هرکس کار خودش را درست انجام دهد و سعی کند روز به روز در چرخه امنیت، بهتر شود.
عباس نژاد: در تکمیل فرمایشات دوستان، باید عرض کنم هرچند ما شرکت هایی به نام رگ تک در حوزه صنعت بانکی به شکل مشخص نداریم اما شرکت های دانش بنیان و توان تخصصی خوبی در کشور وجود دارد که می تواند به کسب وکارها کمک کند تا تطابق بیشتری با رگولیشن ها داشته باشند و عملا بتوانند به مشتریان شان نیز کمک کنند تا دچار مشکل نشوند. بنابراین پیشنهاد می کنم از این توان تخصصی، استفاده و در آن سرمایه گذاری شود، هم از طرف دولت، رگولاتور و بانک مرکزی و هم از طرف بانک ها، مجموعه های مالی و حتی فین تک ها. با این شرایط، قادر خواهیم بود امنیت بهتری در صنعت پرداخت و صنعت بانکی کشور برقرار کنیم. ما آماده ایم این کار را انجام دهیم و مطمئنم این توان، به خوبی در کشور ما وجود دارد.

حس شما نسبت به این خبر چیست؟
دوستش دارم
0%
علاقه‌مندم
0%
نظری ندارم
0%
شگفت زدم
0%
ازش متنفرم
0%
غمگینم
0%
خوشحالم
0%
درباره نویسنده
مرضیه کیانی

ارسال یک نظر